SSO杂烩

整理一下接入sso的用户登录，注册，登出，修改资料的操作，遇到一系列问题。

1，sso

全称Single Sign On，单点登录。SSO是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

2，关于seo收录页面

判断用户在该子站点下是否有活跃，跳转到sso的接口，然后把状态取回来。

在查找的一些资料上有写：“

网页自动跳转：

<meta http-equiv="Refresh" content="10;url=http://www.cs32.com/">

上述html代码中的“10”是延时跳转的时间，单位是秒。如果设为0，就表示立即跳转。“www.cs32.com”是跳转的目标地址，可以是同一域名下的站内相对路径，也可以是不同域名的站外地址。

由于搜索引擎能够读取HTML，所以对于这种自动跳转方法，搜索引擎是能够自动检测出来的。

至是会不会被视为作弊，则主要看跳转时间。如果跳转时间为0，就可能会被视为作弊，从而受到惩罚。如果有时间延迟（一般3秒以上），就会被视为正常应用。

”

实质上，seo 对不同性质的页面收录是不同的逻辑，如果是动态页面他会跳转至最终落地页面。当时负责的站点都是动态页面，所以就算是0秒跳转到sso去获取用户活跃状态 也不影响seo的收录。

 

抛开seo的问题，如果所有的动态页面跳转到sso上判断用户状态，是不合理的，除非是sso判断用户不是登录状态，立刻转到登录页面让其登录（由产品人员决定的流程）。但是如果有对游客公开的页面，（还有就是用户浏览器端禁用cookie的情况）不能跳转到sso判断，而是应该采取sso的主动式，子站点得到用户状态是被动通知型。

 

3，  关于p3p

上面提到了sso的被动通知。运用认证系统实现用户的统一登录注册登出行为，一般会涉及多个子站点的用户管理，把这些站点都列为sso信任的站点，sso的优势也就体现出来了。每个子站点只负责自己站点下的用户cookie信息，那这样，A站点登录，只是负责中A站点的用户cookie，B站点不能享用，所以B也要实现用户的统一登录，可以运用被动通知。

A登录了，然后通知B也要登录，本身这种请求是不合法的，sso通知不到B站点的程序，完成中B的用户信息cookie，为了解决这种跨域中cookie的问题，就引进了p3p协议。

p3p是隐私保护推荐标准，就我理解，比较通俗的说，B站点中cookie的程序写上p3p协议，然后sso就可以成功通知B站点的程序中上用户信息。那是不是所有的跨域名程序（比如百度，新浪的程序）都可以成功通知B站点的程序中用户cookie呢？当然可以加以限制，在p3p协议中限制，或者B站点中进行限制，可以接受哪些站点的通知。

 

另一种情况中第三方cookie的时候。一般网站有iframe框架的页面，iframe提交程序写的cookie是第三方cookie，ie默认不接受第三方cookie，所以要加p3p协议。

P3p的官方手册：http://www.w3.org/TR/P3P11/#P3P-HEADER

 

4，关于cookie

Setcookie设置cookie时，要保证必填的参数（path，domain）都填写。

很多问题都没有深入，以后详细学习。给大家做个引子